Средства обеспечения безопасности в Windows Vista. Часть 2

Часть 2

В первой части статьи я рассмотрел аппаратную защиту Windows Vista, User Access Control, ASLR и другие нововведения в средствах защиты. В этой статье мы поговорим о новом средстве контроля Parental Control, технологиях Bitlocker и NAP и усовершенствованиях безопасности в Internet Explorer.

Родительский контроль (Parental Control)

Начать описание новшеств мне хотелось бы с решения, необходимость которого, на мой взгляд, назрела, уже давно, особенно для домашних пользователей. Это средство разграничения доступа пользователей, получившее название Parental Control. Для рабочих станций, входящих в домен Active Directory, безопасность можно обеспечивать посредством различных элементов групповых политик, при необходимости ограничивая доступ к тем или иным приложениям, узлам в Интернете и определенным настройкам в системе. А вот на машинах, не входящих в домен, и в особенности на домашних компьютерах с безопасностью дела обстояли зачастую неважно. И если избежать использования административных привилегий всеми пользователями рабочей станции можно с помощью технологии UAC (о которой я рассказывал в предыдущей статье), то ограничить доступ к приложениям и сайтам гораздо сложнее. Одно из основных преимуществ Parental Control состоит в том, что все основные настройки безопасности собраны в одном месте, что делает возможным быстрое конфигурирование и применение параметров безопасности (см. рис. 1).

Рисунок 1. Интерфейс Parental Control

Итак, что же позволяет сделать данное средство? Прежде всего вы можете наложить ограничения на доступ пользователей к ресурсам Интернета.

Как видно из рис. 2, ограничить доступ можно по различным критериям, например по тематике сайтов. Используемый при этом веб-фильтр самостоятельно определяет по содержимому страницы, к какой из тем ее можно отнести. В простейшем случае принцип работы данного фильтра схож с системами защиты от спама.

Рисунок 2. Ограничение доступа к ресурсам Интернета

Еще одной функцией родительского контроля является возможность ограничения доступа к играм. Доступ можно ограничить либо полностью, либо в зависимости от рейтинга игры. Рейтинг выставляется разработчиками игры и определяется по различным критериям, например возрастным (см. рис. 3).

Рисунок 3. Ограничение доступа к играм

Также для учетной записи можно ограничить время, в которое данный пользователь может работать с компьютером.

Еще одним средством ограничения активности пользователя в Parental Control являются ограничения на приложения.

Как видно из рис. 4, администратор может определить, какие из приведенных в списке приложений можно запускать, также при необходимости можно добавить в список разрешенные приложения.

Рисунок 4. Ограничение доступа к приложениям

Следует отметить, что на пользователей с административными правами родительский контроль не действует.

Если родительский контроль – это средство защиты скорее для домашних компьютеров, то теперь перейдем к средствам защиты корпоративных систем.

Защита доступа к сети (Network Access Protection)

Технология NAP – это система, которая позволяет системным администраторам быть уверенным в том, что в сети находятся только машины со всеми необходимыми обновлениями ПО, антивирусных баз и т. д. Если компьютер не соответствует требованиям, предъявляемым NAP, ему не разрешается доступ к сети до тех пор, пока все требования NAP не будут выполнены.

Особое значение данная технология имеет при работе с портативными компьютерами, ведь зачастую доступ в корпоративную сеть необходимо предоставлять устройствам, которые не являются собственностью компании и соответственно не попадают под юрисдикцию системного администратора.

Например, ноутбукам аудиторов необходимо предоставить доступ в корпоративную сеть, но при этом вы не знаете, какие обновления на них установлены, как давно обновлялись антивирусные базы, включен ли межсетевой экран и т. д. Благодаря технологии Network Access Protection «чужой» ноутбук при первом подключении будет проверен, в случае если какие-либо из параметров будут не соответствовать корпоративным политикам безопасности, а также в случае если клиентская операционная система не поддерживает NAP, устройство попадет в карантинную зону.

В этой зоне пользователю будут доступны лишь серверы и приложения, с помощью которых он сможет произвести обновление своей операционной системы в соответствии с корпоративными политиками безопасности. Для тех пользователей, чьи ноутбуки по тем или иным причинам не поддерживают NAP, например, под управлением Mac OS или Linux, администраторам придется вручную предоставить доступ к требующимся ресурсам.

В операционной системе Windows Vista технология NAP поддерживается в полном объеме. Подробное описание всех компонентов и архитектуры NAP выходит за рамки данной статьи. Узнать больше можно по адресу [1].

Windows Defender

Windows Defender – компонент, который защищает компьютер от руткитов, кейлоггеров, шпионов, adware, bots и другого вредоносного ПО. Теперь этот компонент входит в операционную систему по умолчанию (см. рис. 5). Следует сразу отметить, что Defender не является антивирусом, так как он не защищает от сетевых червей и вирусов. Однако данный компонент позволяет защитить систему от базовых угроз.

Рисунок 5. Настройки Windows Defender

Windows Defender содержит 9 агентов безопасности, которые постоянно наблюдают за теми критическими областями ОС, которые наиболее часто пытается изменить вредоносное ПО. К таким областям ОС относятся:

• Автозагрузка. Агент безопасности постоянно наблюдает за списком программ, которым позволено загружаться при старте системы. Таким образом, реализуется защита от вредоносного ПО, которое пытается загрузиться вместе с системой.
• Настройки безопасности системы. Агент безопасности постоянно проверяет настройки безопасности Windows. Как известно, некоторое вредоносное ПО старается изменить настройки безопасности с целью облегчения вредного воздействия на ОС (например, отключить межсетевой экран или антивирусную систему). Агент безопасности этой области не позволит неавторизованному ПО изменить настройки безопасности.
• Надстройки (add-ons) Internet Explorer. Агент безопасности следит за приложениями, которые загружаются вместе с браузером. Spyware и другое вредоносное ПО может маскироваться под надстройки Internet Explorer и загружаться без вашего ведома. Агент безопасности не позволит загрузиться такому виду вредоносного ПО.
• Настройки безопасности Internet Explorer. Агент следит за настройками безопасности браузера, потому что вредоносное ПО может попытаться изменить их.
• Загрузки Internet Explorer (Internet Explorer Downloads). Агент безопасности следит за файлами и приложениями, предназначенными для работы с IE (например, ActiveX controls). Браузер может загрузить, установить и запустить данные файлы без вашего ведома. Вредоносное ПО может быть включено в такого рода файлы и загрузиться на компьютере-жертве, но агент безопасности защитит и от этой угрозы.
• Службы и драйверы. Агент безопасности данной области наблюдает за состоянием служб и драйверов во время их взаимодействия с ОС и приложениями. Поскольку службы и драйверы выполняют важнейшие функции, они имеют доступ к важным областям ОС. Вредоносное ПО может использовать службы для доступа к компьютеру, а также с целью маскировки под нормальные компоненты системы.
• Выполнение приложений (Application Execution). Агент безопасности следит за приложениями во время их выполнения. Spyware и другое вредоносное ПО, используя уязвимости приложений, может нанести вред. Например, spyware может загрузиться во время запуска часто используемого вами приложения. Windows Defender предупредит вас о подозрительном поведении приложений.
• Регистрация приложений (Application Registration). Агент безопасности данной области постоянно наблюдает за инструментами и файлами ОС, где приложения регистрируются с целью запуска. Spyware и другое вредоносное ПО может зарегистрировать приложение без ведома пользователя и периодически собирать с его помощью вашу личную информацию. Данный агент сообщит пользователю об обнаружении нового приложения, пытающегося зарегистрироваться с целью запуска.
• Windows Add-ons. Агент безопасности следит за надстройками, также известными как программные утилиты для Windows. Данные надстройки позволяют настроить такие аспекты ОС, как безопасность, производительность, мультимедиа. Однако также эти надстройки могут устанавливать ПО, которое будет собирать информацию о вас и о вашем компьютере.

При грамотной настройке Windows Defender может стать полезным дополнением к корпоративной антивирусной системе (см. рис. 6).

Рисунок 6. Защита в режиме реального времени

Безопасность Internet Explorer 7

Веб-браузер Internet Explorer 7.0, встроенный в операционную систему Windows Vista, также претерпел ряд изменений, существенно улучшивших его безопасность. Прежде всего в браузер добавлен фильтр, защищающий от фишинга (phishing), то есть поддельных сайтов, используемых мошенниками для завладения конфиденциальными данными пользователя, такими как номер кредитной карты, пароль к электронной почте и другие. В случае если сайт является подделкой, например, фальшивый интернет-магазин, Internet Explorer выдаст пользователю соответствующее предупреждение. Точнее, фильтр фишинга производит серию проверок с целью защиты от попыток несанкционированного сбора данных. При этом Internet Explorer 7 предупреждает пользователя, если существует лишь подозрение, что веб-узел занимается несанкционированным сбором данных, или перенаправляет его на страницу предупреждения, если о подобной деятельности известно доподлинно.

Также в Internet Explorer 7 новая строка состояния безопасности, которая располагается рядом с адресной строкой и помогает быстро отличать подлинные ресурсы от подозрительных и вредоносных. Она содержит четкие и хорошо заметные подсказки, характеризующие степень безопасности и надежности веб-узла, а также предоставляет удобный доступ к сертификатам, удостоверяющим его легальность. Новая строка состояния включает также золотой значок висячего замка, с помощью которого можно определить уровень доверия и безопасности к данному сайту. Кроме того, в ней отображается специальная цветовая кодировка, наглядно показывающая, является ли веб-узел легальным.

Технология InfoCard является полезным дополнением, которое позволяет автоматизировать вход в различные веб-приложения. Фактически это аналог существующей технологии Single Sign On (единой точки входа) и позволяет упорядочивать цифровые идентификационные данные, обходиться меньшим числом паролей и лучше управлять распространением своих личных данных в Интернете. При посещении веб-узла, поддерживающего эту технологию, в систему можно войти, передав элемент InfoCard вместо пароля и имени пользователя. Элементы InfoCard более безопасны, поскольку находящиеся в них личные данные шифруются и хранятся на компьютере пользователя или поставщика надежных удостоверений (такого как банк или поставщик услуг Интернета).

Рисунок 7. Свойства обозревателя

Говоря о ядре программного кода самого браузера, нельзя не упомянуть режим Protected Mode. Этот режим включен по умолчанию и ограничивает выполнение веб-приложениями целого ряда потенциально опасных действий. Этот режим повышает безопасность браузера и делает невозможным изменение файлов и их загрузку в любую папку, за исключением Temporary Internet Files. Иными словами, только сам пользователь может решить, нужно ли загружать данные и куда их необходимо записывать. Все автоматические попытки изменения реестра или записи файлов на диск при работе в Protected Mode невозможны.

Кроме этого, Internet Explorer больше не интегрирован с Windows так тесно, как это было в предыдущих версиях ОС. Фактически браузер помещен в отдельный сегмент оперативной памяти, изолированный от операционной системы. Поэтому даже если в браузере обнаружится уязвимость, через которую будет запущен вредоносный код, это не сможет принести операционной системе такого большого вреда, как раньше. Это объясняется тем, что браузер обрабатывает скрипты и другую информацию только в рамках своей «клетки», которая изолирована от файловой системы Windows.

Новая опция Fix My Settings (исправить мои настройки) помогает пользователю поддерживать защиту на должном уровне, когда происходит установка и использование различных Интернет-приложений. Так что теперь ваш браузер не будет безнаказанно «обрастать» различными плагинами сомнительного происхождения без ведома пользователя.

Защита данных BitLocker

Помимо всего сказанного добавились нововведения в компоненты защиты данных. BitLocker Drive Encryption – инструмент, позволяющий защитить конфиденциальную информацию на диске путем его шифрования. Это может оказаться очень полезным, в случае если диск, защищенный с помощью технологии BitLocker, украден или, например, списан. Информацию на нем прочесть не удастся, поскольку все содержимое диска зашифровано.

Технология BitLocker использует TPM (Trusted Platform Module) – специальный чип, который необходим для безопасного хранения ключевой информации, а также для разграничения доступа к системе. Во время загрузки Windows проверяется целостность системных файлов и данных. Если файлы были изменены, ОС не загрузится. BitLocker поддерживает централизованное хранение ключей в Active Directory, в то же время позволяя системным администраторам хранить ключи шифрования и на USB-устройствах.

BitLocker позволяет изменить стандартный процесс загрузки ОС. Дело в том, что загрузка ОС может блокироваться до тех пор, пока пользователь не введет PIN-код или не вставит USB-устройство с ключами дешифрования. Эти дополнительные меры безопасности обеспечивают так называемую многоуровневую аутентификацию.

Следует отметить, что BitLocker Drive Encryption будет доступен для клиентских машин в версиях Windows Vista Enterprise и Ultimate.

Технология Bit Locker также уже освещалась в одной из моих предыдущих статей, посвященных Windows Server 2008 [2].

Заключение

На этом я завершаю вторую часть статьи, посвященной средствам обеспечения безопасности в Windows Vista. Как вы смогли убедиться, новая операционная система содержит довольно много нововведений в области безопасности, многие из которых уже с успехом применяются в работе.

1. Описание технологии NAP – http://www.microsoft.com/technet/network/nap/napoverview.mspx.
2. Бирюков А. BitLocker: новое средство защиты данных в Windows Server 2008. //Системный администратор, №7, 2008 г. – С. 67-69.